ArtigoUm guia completo para a Lei de Privacidade do Consumidor da Califórnia
Publicados: 2022-08-12Descubra como a Lei de Privacidade do Consumidor da Califórnia afeta as empresas que gerenciam os dados dos residentes e o que você pode fazer para reduzir o risco de violação dos regulamentos da Lei.
*Esta peça foi escrita em 2018. A CCPA entrou em vigor em 1º de janeiro de 2020.
Alguns meses se passaram desde o grande pânico do GDPR de 2018. Todos nós tivemos tempo para encerrar a conformidade, recuperar o fôlego e olhar para o futuro (mas se você ainda não abordou a conformidade com o GDPR ou não sabe o que é o GDPR , confira meu artigo sobre GDPR para sites baseados nos EUA). Então, o que vem a seguir para os regulamentos de privacidade pessoal para entidades sediadas nos EUA?
É a Lei de Privacidade do Consumidor da Califórnia (CCPA), que foi sancionada em 23 de setembro de 2018. Desta vez, todos devemos ser capazes de evitar a histeria que vimos com o GDPR.
Antes de continuar, observe que este artigo é direcionado aos proprietários de sites B2B (business-to-business) de médio a grande porte. Se sua organização é pública ou privada é irrelevante, assim como se sua organização está sediada na Califórnia.
Eu acho que a maioria das postagens de blog sobre este e tópicos semelhantes são altamente suspeitas, então a pesquisa para este artigo depende apenas do texto da lei. Independentemente de onde você obtém suas informações, verifique-as com um advogado especializado no assunto. Se sua empresa lida com informações pessoais como parte de seu core business, este artigo não é para você.
Aqui está o que vou cobrir:
- O que é a Lei de Privacidade do Consumidor da Califórnia?
- Quem está protegido pela CCPA?
- O que, exatamente, está protegido?
- Que organizações devem cumprir?
- Quais são os direitos do consumidor?
- Quais são as etapas para garantir a conformidade com a CCPA?
- Quais são as penalidades por descumprimento?
Vamos mergulhar!
O que é a Lei de Privacidade do Consumidor da Califórnia?
Em 1972, os eleitores da Califórnia alteraram a Constituição da Califórnia para incluir o direito à privacidade entre os direitos “inalienáveis” de todas as pessoas. A emenda estabeleceu um direito legal e exequível de privacidade para todos os californianos. Fundamental para este direito de privacidade é a capacidade dos indivíduos de controlar o uso, incluindo a venda, de suas informações pessoais – AB 375, Seção 2(a)
Para apoiar essa alteração, várias leis da Califórnia já foram aprovadas: A Lei de Proteção à Privacidade Online, a Lei dos Direitos de Privacidade para Menores da Califórnia na Lei do Mundo Digital e Shine the Light.
A CCPA é uma nova lei que se baseia naquelas para proteger ainda mais os direitos dos moradores. Começou como uma iniciativa de votação proposta, mas seus apoiadores concordaram em retirá-la sob a condição de que uma nova lei pudesse ser aprovada antes de 28 de junho de 2018.
Esse era o prazo para finalizar o que estaria na cédula. Para atender a isso, um projeto de lei imperfeito (Assembly Bill 375) foi ressuscitado depois que anteriormente não conseguiu ganhar força. Foi passado às pressas. A iniciativa de votação e a AB 375 são ambas referidas como Lei de Privacidade do Consumidor da Califórnia, embora a iniciativa de votação e a lei resultante tenham se mostrado muito diferentes.
Os membros da Assembleia da Califórnia temiam que, se uma lei não fosse aprovada a tempo e a iniciativa chegasse à votação, os eleitores aprovariam uma lei que seria difícil, se não impossível, para as empresas cumprirem.
Mais tarde, em 2018, uma versão alterada passou pelo Senado do Estado da Califórnia (Senado Bill 1121). Mas a lei ainda não é perfeita e mais emendas parecem prováveis.
Antes de entrarmos nos detalhes da lei, devemos reconhecer que algumas partes podem mudar. Talvez a própria lei nunca possa ser aplicada.
Atualmente, existem iniciativas em vigor para estabelecer uma lei federal de privacidade de dados que substituiria qualquer lei estadual de privacidade de dados. Os legisladores federais podem achar que a lei da Califórnia ultrapassa ou não vai longe o suficiente, e então apressam uma lei federal... Um movimento que reflete a ação tomada pela Assembléia do Estado da Califórnia.
É razoável que os legisladores estaduais e federais sejam cautelosos com as iniciativas dirigidas pelos eleitores e um bando de leis estaduais individuais. As empresas podem ficar sobrecarregadas com diretivas técnicas impraticáveis ou com o fardo esmagador de cumprir as leis de 50 estados diferentes.
Como desenvolvedor web, estou assustado com esses dois cenários. Mas como consumidor individual, estou decepcionado com a lei da Califórnia. Simplesmente não vai longe o suficiente para proteger dados pessoais e identificáveis.
Aconteça o que acontecer, os próximos dois anos serão bastante caóticos, mas é aqui que estamos agora...
Quem está protegido pela CCPA?
A CCPA se aplica a todas as pessoas que vivem na Califórnia. O texto da lei diz:
Consumidor significa uma pessoa física residente na Califórnia, conforme definido na Seção 17014 do Título 18 do Código de Regulamentos da Califórnia, conforme essa seção lida em 1º de setembro de 2017, independentemente da identificação, inclusive por qualquer identificador exclusivo. – AB 375, Seção 3, 1798.140
Uma "pessoa natural" pode simplesmente ser pensada como um ser humano individual. Uma "pessoa jurídica", por outro lado, pode ser apenas uma pessoa jurídica. A definição de residente é:
O termo “residente”, conforme definido na lei, inclui (1) toda pessoa física que esteja no Estado para fins que não sejam temporários ou transitórios, e (2) toda pessoa física domiciliada no Estado que esteja fora do Estado por um propósito temporário ou transitório. Todos os outros indivíduos são não residentes. – Código de Regulamentos da Califórnia, Título 18, Seção 17014
Um tecnólogo inteligente em sua organização pode sugerir a filtragem de usuários por estado, dando aos da Califórnia uma experiência diferente. Mas há três falhas nessa abordagem.
Primeiro, os residentes da Califórnia são protegidos independentemente de estarem no estado no momento. Em segundo lugar, as ferramentas que usamos para determinar a localização de um usuário são imperfeitas. E terceiro, manter uma experiência de site separada apenas para usuários na Califórnia seria um adicional,
Observe que em todo o texto da lei (incluindo o título) a palavra "Consumidores" é usada para significar todas as pessoas físicas residentes na Califórnia. É uma escolha estranha porque os indivíduos não são obrigados a comprar bens ou serviços para serem protegidos pela lei.
O que é protegido?
A CCPA protege as informações pessoais dos residentes da Califórnia. Informações pessoais são informações que podem ser associadas a um indivíduo ou família, direta ou indiretamente.
Esteja ciente de que é totalmente possível coletar dados de um usuário anônimo, por Cookie ou endereço IP, por exemplo, e relacionar esses dados a um indivíduo posteriormente. Isso significa que os dados "podem ser associados" a uma pessoa.
Portanto, se a CCPA se aplicar ao seu negócio, você deve divulgar essa coleta ao indivíduo quando os dados forem coletados - mesmo que a pessoa ainda não tenha ou nunca seja identificada. Porque é possível identificar a pessoa significa que você deve cumprir. As informações pessoais incluem, mas não se limitam a:
(A) Identificadores como nome real, alias, endereço postal, identificador pessoal exclusivo, identificador online endereço de protocolo da Internet, endereço de e-mail, nome da conta, número do seguro social, número da carteira de motorista, número do passaporte ou outros identificadores semelhantes.
(B) Quaisquer categorias de informações pessoais descritas na subdivisão (e) da Seção 1798.80.
(C) Características das classificações protegidas pela Califórnia ou pela lei federal.
(D) Informações comerciais, incluindo registros de bens pessoais, produtos ou serviços adquiridos, obtidos ou considerados, ou outros históricos ou tendências de compra ou consumo.
(E) Informação biométrica.
(F) Internet ou outras informações de atividade de rede eletrônica, incluindo, mas não se limitando a, histórico de navegação, histórico de pesquisa e informações sobre a interação de um consumidor com um site, aplicativo ou anúncio da Internet.
(G) Dados de geolocalização.
(H) Informações de áudio, eletrônicas, visuais, térmicas, olfativas ou similares.
(I) Informações profissionais ou relacionadas ao emprego.
(J) Informações educacionais, definidas como informações que não são informações de identificação pessoal disponíveis publicamente, conforme definido na Lei de Privacidade e Direitos Educacionais da Família (20 USC seção 1232g, 34 CFR Parte 99).
(K) Inferências extraídas de qualquer uma das informações identificadas nesta subdivisão para criar um perfil sobre um consumidor refletindo suas preferências, características, tendências psicológicas, preferências, predisposições, comportamento, atitudes, inteligência, habilidades e aptidões.
– AB 375, Seção 3, 1798.140
Que organizações devem cumprir?
Se sua organização não faz negócios no Estado da Califórnia, você está livre. E alguém que navegue em seu site na Califórnia não significa a intenção de fazer negócios no estado. Mas se sua empresa faz negócios na Califórnia, você deve se fazer algumas perguntas:
- Sua organização tem receita bruta anual superior a US$ 25 milhões? (Observe que a figura se ajusta ao Índice de Preços ao Consumidor).
- Sua organização lida com informações pessoais de 50.000 ou mais consumidores, famílias ou dispositivos a cada ano?
- Sua organização obtém 50% ou mais de sua receita anual com a venda de informações pessoais dos consumidores?
Se você puder responder sim a qualquer uma dessas três perguntas, sua organização deve cumprir. Se sua organização se enquadra em todos esses limites, mas é de propriedade de uma entidade maior (com mais de 50% de controle) que excede qualquer um deles, sua organização deve estar em conformidade.
Quais são os direitos do consumidor?
Os direitos concedidos aos residentes da Califórnia sob esta lei têm muitas semelhanças com os concedidos aos cidadãos da UE sob o GDPR. Assim como o GDPR, as empresas devem informar aos usuários quando estão coletando dados e o que exatamente farão com eles antes que as informações sejam coletadas:
Uma empresa que coleta informações pessoais de um consumidor deve, no ou antes do ponto de coleta, informar os consumidores sobre as categorias de informações pessoais a serem coletadas e os propósitos para os quais as categorias de informações pessoais devem ser usadas – AB 375, Seção 3, 1798.100(b)
E eles têm o direito de solicitar todos os dados que uma empresa coletou:
Um consumidor terá o direito de solicitar que uma empresa que coleta informações pessoais de um consumidor divulgue a esse consumidor as categorias e partes específicas de informações pessoais que a empresa coletou – AB 375, Seção 3, 1798.100(a)
Com base nisso, os consumidores têm o direito de conhecer as categorias de fontes de onde as informações foram coletadas, o objetivo comercial da coleta de dados e as categorias de terceiros com quem as informações são compartilhadas.
Além disso, os usuários têm o direito de solicitar que seus dados sejam excluídos de seus registros e dos registros de todos os seus provedores de serviços.
Um consumidor terá o direito de solicitar que uma empresa exclua qualquer informação pessoal sobre o consumidor que a empresa tenha coletado do consumidor – AB 375, Seção 3, 1798.105(a)
Se o seu negócio principal é lidar com dados pessoais de consumidores, existem direitos adicionais que você precisa conhecer e estar preparado para responder. Mas, novamente, este artigo não é para você.
Quais são as etapas para garantir a conformidade com a CCPA?
Em primeiro lugar, você deve notificar os usuários de toda a coleta de dados com antecedência. Ao contrário do GDPR, o CCPA não exige um mecanismo de consentimento positivo. Por exemplo, quando um usuário preenche um formulário, uma declaração simples que revela o que você fará com os dados será suficiente. O usuário não precisa marcar uma caixa explicando que entende e consente com a coleta.
Você deve fornecer aos usuários pelo menos dois métodos para solicitar seus dados ou para excluir seus dados. Um desses métodos deve ser um número gratuito; o outro pode ser simplesmente um endereço de site.
Todas as solicitações devem ser verificadas e respondidas em até 45 dias. Este período de tempo pode ser estendido por mais 45 dias, desde que você informe o consumidor dentro dos primeiros 45 dias. Sua divulgação ao usuário deve incluir os 12 meses anteriores de coleta de dados, portanto, certifique-se de poder armazenar e recuperar os dados necessários a partir de 1º de julho de 2019.
Uma empresa que recebe uma solicitação verificável de um consumidor para acessar informações pessoais deve imediatamente tomar medidas para divulgar e entregar, gratuitamente ao consumidor, as informações pessoais exigidas por esta seção – AB 375, Seção 3, 1798.100(d)
Você não é obrigado a responder às solicitações de dados de um único usuário mais de uma vez em qualquer período de 12 meses.
Você deve atualizar sua política de privacidade para divulgar uma descrição dos direitos dos consumidores de acordo com as Seções 1798.110, 1798.115 e 1798.125 da CCPA. Você também precisa apresentar os métodos disponíveis para fazer solicitações em relação aos seus dados.
Como dito acima, um desses métodos deve ser um número gratuito. Você também deve divulgar todas as categorias de informações coletadas nos últimos 12 meses e manter essas informações atualizadas pelo menos uma vez a cada 12 meses.
Ao mesmo tempo, você deve garantir que todos os indivíduos que lidam com perguntas de consumidores sobre as práticas de privacidade da empresa ou a conformidade com este título sejam informados de todos os requisitos. Eles também precisam saber como orientar os consumidores a exercer seus direitos sob essas seções.
Você pode ver algumas pessoas aconselhando que você deve ter um link em sua página inicial intitulado "Não venda minhas informações pessoais", mas esse requisito é específico para empresas que vendem informações pessoais de consumidores. Como mencionei anteriormente neste artigo, se você vende informações pessoais dos consumidores, este artigo não é para você.
Por fim, você não pode discriminar usuários que exerceram seus direitos de privacidade concedidos pela CCPA. A discriminação inclui negar bens ou serviços, cobrar preços mais altos ou fornecer um nível ou qualidade diferente de bens e serviços.
Você pode oferecer incentivos financeiros para a coleta de informações pessoais. Mas tome cuidado para que esses programas de incentivo não sejam de natureza coercitiva ou usurária.
Quais são as penalidades por descumprimento?
As penalidades avaliadas pelo Procurador-Geral da Califórnia são relativamente pequenas em comparação com aquelas que vêm com infrações do GDPR. Observe que, no caso de uma suposta violação, você terá 30 dias para corrigir o problema e só será obrigado a pagar a multa se não o fizer.
Se você for encontrado em violação e não resolver o problema, você enfrentará uma multa civil de US$ 2.500 por violação não intencional e US$ 7.500 por violação intencional. Essas penalidades são tão leves que algumas empresas certamente optarão por ignorar a lei. Mas eles fazem isso com grande perigo.
O maior custo gerado pela constatação de violação da CCPA é o aumento do risco de exposição a ações coletivas. Os danos legais estão limitados a $ 100 - $ 750 por consumidor por incidente ou danos reais, o que for maior. Mas, como é comum gerenciar os dados de milhares de indivíduos, os danos totais em uma ação coletiva podem ser substanciais.
Recomendações
Talvez a coisa mais preocupante sobre essas novas leis seja o conhecimento de que há mais por vir. Ou começaremos a ver mais leis estaduais projetadas para proteger nossa privacidade de dados ou uma lei federal que será aprovada e prevalecerá ou anulará as leis estaduais.
É impossível saber o que essas leis futuras podem incluir, mas podemos fazer algumas suposições. E há algumas práticas adicionais que ajudarão a garantir a conformidade em todos os estados e na UE:
- Definir um processo para descartar os dados do cliente após um determinado período de tempo
- Exigir um mecanismo de consentimento positivo em todos os pontos de coleta de dados
- Colete menos dados!
Essa última sugestão é fácil de perceber e te absolve de muita responsabilidade. Há muitas coisas nos sites mais modernos que registram, rastreiam e aproveitam a atividade do usuário.
A grande maioria dessas coisas não coleta dados para o proprietário do site; eles coletam dados para redes de publicidade direcionadas. Serviços "gratuitos" como análise, hospedagem de fontes, redes de entrega de conteúdo, widgets de compartilhamento e similares são tudo menos gratuitos.
Você está pagando por eles com a privacidade de seus usuários. Não os use em seu site sempre que possível, nem os configure de forma que você não divulgue mais os dados pessoais de seus usuários.
Recursos
- Projeto de Lei da Assembléia Estadual da Califórnia nº 375
- Projeto de Lei do Senado do Estado da Califórnia nº 1121
- Artigos do Data Privacy Monitor sobre CCPA Normalmente eu evito links para blogs, mas os posts de DPM e Alan L. Friel, em particular, são consistentemente excelentes
Os regulamentos da CCPA podem ser esmagadores. Esperamos ter ajudado a consolidar tudo o que você precisa saber. Ao considerar fazer uma auditoria do seu site, teremos prazer em conversar. Para obter mais informações sobre considerações digitais e da Web para sua marca, veja algumas dicas e recursos para ajudar:
- Saiba o que é preciso para tornar seu site acessível.
- Descubra as chaves para a segurança do site e como mantê-lo seguro.
- Dê uma olhada em como criar um site de negócios atraente (e de conversão).